Manuel Statik Analiz — Yashma/Chaos Ransomware | Tehdit: KRITIK

Файл Kimliği

SHA2563ea6df18492d2181289280b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
Имя файлаsvchost.exe (Windows Servis Host süreci taklidi!)
Размер289.280 byte
String Sayisi513

Ransomware Builder Config Alanları

encryptionAesRsa          -- AES+RSA çift katman şifreleme
encryptedFileExtension    -- Şifrelenmiş dosya uzantısı ayarı
checkdeleteShadowCopies   -- Shadow Copy silme seçeneği
.wallet                   -- Kripto cüzdan dosyaları hedefi

Bitcoin Cüzdanı

1163hSV1jJOVB4PFZesBjq9wFyW8w4x9a  -- Fidye ödeme BTC adresi

Yashma/Chaos Hakkında

Yashma, Chaos ransomware builder'ın evrimleşmiş versiyonudur. .NET dilinde yazılmıştır ve GitHub'da kaynak kodu sızdırılmıştır. AES-256 ve RSA-2048 kullanır. MedusaLocker ile aynı builder'dan çıkan varyantlar mevcuttur. Düşük giriş maliyetiyle amatör siber suçlular tarafından da kullanılabilmektedir.

IOC

SHA2563ea6df18492d2181289280b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
Kamuflajsvchost.exe
BTC1163hSV1jJOVB4PFZesBjq9wFyW8w4x9a

YashmaRansom — Профиль вредоносного ПО

Yashma/Chaos ransomware. Acik kaynak builder. svchost.exe disguise. AES-256+RSA-2048. .wallet dosya hedefi.

Тип вредоносного ПО
Ransomware
Язык программирования
C#/.NET
C2 Протокол
HTTPS
Целевые системы
Kuresel

Возможности и поведение

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

Список IOC (1 индикаторов)

IOC — YashmaRansom
# SHA256 3ea6df18492d2181289280b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
ТипЗначениеПримечание
sha256 3ea6df18492d2181289280b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f5
Теги
yashmachaos-ransomwaresvchost-disguiseaes-rsashadowcopybtcwallet-target